HTC Bluetoothドライバで発見されたこの脆弱性は、obexfile.dllによって攻撃者がOBEX FTPサービスのバグを発見し、今年初めに報告した研究員Alberto Moreno Tabladoによると、OBEX FTPディレクトリトラバーサル攻撃は、被害者の電話にBluetoothスイッチがあることを要求しているBluetoothファイル共有が有効になります。この脆弱性により、攻撃者は電話のBluetooth共有フォルダから他のフォルダに移動することができます。これにより、攻撃者は連絡先の詳細、電子メール、写真、または電話に保存されている他のデータにアクセスできます。
[その他の情報:メディアストリーミングとバックアップのための最善のNASボックス]
Windows Mobile 6またはWindows Mobile 6.1を実行するほとんどすべてのHTC端末にこの脆弱性が影響します。 Windows Mobile 5を実行しているHTC端末は影響を受けません。
この修正プログラムは、ディレクトリトラバーサル攻撃を可能にする脆弱性を修正した。Moreno Tablado氏タッチHDは、修正プログラムが設計されたHTCハンドセットの中にリストされている、Moreno Tabladoは、ハンドセットは、OBEX FTPサービスを含まないと述べた。 BroadcomのWidcomm Bluetoothスタックを使用し、セキュリティホールの原因となるHTCドライバを使用しないTouch Pro 2は、影響を受けない別のHTCハンドセットであると、Broadcomのソフトウェアエンジニアは述べている。Touch Diamond Windows Mobile 6およびWindows Mobile 6.1を実行している他のHTC端末にはまだ影響が及ぶ可能性があるとMoreno Tablado氏は述べています。執筆時点で、HTCのWebサイトを検索したところ、影響を受けるドライバを使用している他のモデル用の修正プログラムをまだ公開していないことが明らかになりました。テストでは、Moreno Tabladoは、Bluetoothの脆弱性が8つのHTCハンドセット・モデル(P3600i、Touch Find、S710、P3650、Touch Diamond、Touch Pro、Touch Cruise、S740)に影響することを確認しました。
この脆弱性を心配しているユーザーは、Bluetoothを無効にするか、信頼できないハンドセットやコンピュータと携帯電話をペアにしないでください。ユーザーは、すでに自分の電話機とペア設定されているデバイスを削除することもできます。